DB32 T 3769-2020 医疗器械网络信息安全基本要求.pdf

1、 ICS 35.240.99 R 10 DB32 江苏省 地 方 标 准 DB32/T 3769 2020 医疗器械网络 信息安全 基本要求 Basic requirements of information security of medical devices 2020-04-08 发布 2020-05-15 实施 江苏省市场监督管理局 发布 DB32/T 3769-2020 I 目 次 目 次 . I 前 言 . II 1 范围 . 3 2 规范性引用文件 . 3 3 术语和定义 . 3 4 日志审计 . 5 5 授权访问管理 . 6 6 非授权访问管理 . 7 7 数据安全保护 . 7

2、 8 随附文件对用户管理产品信息安全说明的要求 . 7 9 产品设计文档 . 8 附录 A . 9 参考文献 . 10 DB32/T 3769-2020 II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由 江苏省药品监督管理局 提出并归口。 本标准起草单位：江苏省医疗器械检验所、南京凌凯威软件有限公司。 本标准起草人员： 刘茹、张宜川、 耿恺频 、 刘颖、 丁楠、 鲍远兵 、胡济民、李宁、 张超 、 蒲璐 。 DB32/T 3769-2020 3 医疗器械网络信息安全基本要求 1 范围 本标准规定了 医疗器械 网络 信息安全的基本 要求。 本标准 适用于具有网络连接

3、功能以进行电子数据交换或远程控制的 医疗器械 产品 ， 其中网络包括无 线、有线网络，电子数据交换包括单向、双向数据传输，远程控制包括实时、非实时控制。 也 适用 于采 用存储媒介以进行电子数据交换 的医疗器械 产品，其中存储媒介包括但不限于光盘、移动硬盘和 U盘 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25000.10-2016 系统与软件工程 系统与软件质量要求和评价（ SQuaRE）第 10部分：系统与 软件质量模型 GB/T 2500

4、0.51-2016 系统与软件工程 系统与软件质量要求和评价（ SQuaRE）第 51部分：就绪 可 用软件产品（ RUSP）的质量要求和测试细则 GB/T 25069-2010 信息安全技术 术语 GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇 GB/T 35273-2017 信息安全技术个人信息安全规范 YY/T 0316-2016 医疗器械 风险管理对医疗器械的应用 3 术语和定义 3.1 接口 electronic interface 就本标准而言， 接口是 指 系统之间相互作用和 /或相互通信的媒介，从而允许系统之间进行信息交 换。它包括连接 类型 (

5、如 USB端口、无线连接 )和信息内容。它是医疗设备与其他设备或其他医疗设备 之 间 交换和使用信息的媒介 。 3.2 产品敏感 信息 product sensitive information 产品敏感数据是指 可以影响产品 信息 安全 的 任何重要 数据 。 注：包括 但 不限于密码、密钥、随机数生成器的种子、身份验证数据、设备控制信息等。 3.3 访问权限 access permission 访问权限，是根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些 控制的机制。 DB32/T 3769-2020 4 3.4 随附文件 accompanying documen

6、ts 随同医疗器械的，为医疗器械安装、使用和维护的责任方提供信息以及为操作者或使用者提供信息， 特别是关于安全信息的文件 YY/T 0316-2016，定义 2.1 3.5 制造商 manufacturer 在上市和 /或投入服务前。对医疗器械的设计、制造、包装或作标记、系统的装配或者改装医疗器 械负有责任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。 YY/T 0316-2016，定义 2.8 3.6 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人

7、信息。 注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、 征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、 14 岁以下（含）儿童的个人信息等。 GB/T 35273-2017，定义 3.2 3.7 访问控制 access control 一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。 GB/T 25069-2010，定义 2.2.1.42 3.8 完整性 integrity 准确和完 备 的特性 。 GB/T 29246-2017， 定义 2.40 3.9 真实性 authenticity 确保主体或资源的身份正是所声称的特

8、性。真实性适用于用户、进程、系统和信息之类的实体。 GB/T 25069-2010，定义 2.1.69 3.10 抗抵赖 non-repudiation 证明某一动作或事件已经发生的能力， 以使事后不能否认这一动作或事件。 GB/T 25069-2010，定义 2.1.17 3.11 可核查性 accountability 确保可将一个实体的行动唯一地追踪到此实体的特性。 GB/T 25069-2010，定义 2.1.18 DB32/T 3769-2020 5 3.12 保密性 confidentiality 信息 对 未授权的个人、实体 或过 程 不可用 或 不泄露 的特性。 GB/T 29

9、246-2017， 定义 2.12 3.13 可得性 已授权实体一旦需要就可访问和使用的数据和资源的特性。 注：改写自 GB/T 25069-2010， 定义 2.1.20可用性 3.14 信息 安全 information security 对信息 的保密性、完整性、 和 可得性 的保持 。 注：另外，也可包括诸如真实性、可核查性、抗抵赖等其他特性。 GB/T 29246-2017， 定义 2.33 3.15 去标识化 de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。 注：去标识化建立在个体基础之上，保留了个体颗粒度，采

10、用假名、加密、哈希函数等技术手段替 代对个人信息的标识。 GB/T 35273-2017，定义 3.14 3.16 最小特定权限 minimum privilege 主体的访问权限的最低限度，即仅执行授权活动所必需的那些权利。 GB/T 25069-2010，定义 2.2.1.142 4 日志审计 4.1 医疗器械 应 具有 信息 安全 日志 记录 功能 。 4.2 医疗器械 信息 安全 日志中应包含 充分信息 ， 达到 可核查性 和 抗抵赖性 要求 。 4.3 医疗器械 应将与 信息 安全 相关的日志存储在非易失性存储器中，且不允许非 授 权 用户删除或更改 它们 。 通过触发信息安全相关事

11、件，用户正常操作或异常操作来验证有无相关日志；通过审核日志内容 （如：用户标识、操作时间、来源、行为等信息）来验证日志描述是否清晰明了；通过对日志存储 记录或文件进行攻击，验证日志存储的安全性。 DB32/T 3769-2020 6 5 授权访问管理 5.1 接口 访问服务应当要求用户在访问前进行身份 认证 。 远程访问 时， 如涉及可能影响或改变产品 信 息 安全 的操作 ， 应要求用户再次进行身份 认证 。 注：不涉及 可能影响或改变产品 信息 安全 的操作 且不涉及敏感信息 （ 个人敏感信息 和 产品敏感 信息 ） 传 输的产品，可使用未经身份 认证 的访问。 5.2 为防止永久 授权，

12、 医疗器械 的用户授权 服务应当实现会话超时 注销 或其他 等效 功能。会话超时时 间应是可配置的。 5.3 对于 使用用户名和密码进行用户 认证 的 产品： a） 医疗器械 密码的存储应 有防止 信息泄露 措施 ； b） 医疗器械 提供的认证错误信息 不允许 列举 有效 凭证 ； c） 医疗器械 密码需满足长度、复杂度、更新频率等特性要求 ； 注：复杂度是特殊字符、大小写字母、数字等选项的组合。更新频率可配置。 d） 医疗器械 应当对字典攻击和暴力破解做出相应的防护 ； e） 医疗器械 不应含有硬编码密码 ； 注：硬编码密码是指无法通过软件功能修改的密码。 f） 医疗器械 应 具有 管理有效

13、用户列表 的功能 。 5.4 对于 使用基于角色访问的 医疗器械 ： a）应清楚地记录所有已存在的角色及其相关的权限； b）应设置拥有管理产品专有权限的 “ 管理员 ” 或 “ 系统 ” 角色，这样的权限不应授予其他角色； c） 应能够对进行身份认 证的每个帐号执行 最小 特定 权限 原则。 5.5 在 医疗器械 使用 之前， 医疗器械 需要改变任何在 医疗器械 安全中起作用的系统默认值，比如密码 和密钥 等 。 且 医疗器械 应具有推荐更改系统默认值的 指导 说明 。 DB32/T 3769-2020 7 6 非授权访问管理 6.1 医疗器械 不应 开放 与预期用途无关的 端口。 6.2 当

14、 医疗器械 的接口出现无效或意外的输入时， 医疗器械 应能继续按预期运行，并保障 医疗器械 的 基本 功能 和数据的 可得性 。无效或意外输入 包含 但不限于以下内容 ： a）参数类型或长度异常； b）特殊字符或其它特殊语句； c）非法文件 。 6.3 医疗器械 应 具有 访问 控制 能力 ， 非 授权 用户不能访问 未授权 的 医疗器械 功能和资源。 7 数据安全保护 7.1 医疗器械 应具备数据备份 和 恢复功能 ， 当 存储空间 不足 时有相应提示 。 注 ： 指明数据备份由操作系统的功能来执行也是可接受的。 7.2 医疗器械 应确保在任何 接口 之间 传输 数据的 完整性 和 真实性

15、。 7.3 医疗器械 应确保由产品生成、储存、使用或 传输 的敏感数据的 保 密性 。 医疗器械 应使用 可靠 的 安 全机制 来 保证 敏感数据 的 保密性 或 去标识化 。 注 ： 敏感数据 包含 个人敏感信息 和 产品敏感 信息 ； 安全机制 可能为公认的加密算法 、数字证书等 。 8 随附文件 对用户管理 产品 信息安全 说明 的要求 8.1 制造商 应提供 医疗器械 中使用的 主要 软件组件的版本。 DB32/T 3769-2020 8 8.2 随附文件 中 应包 含对 医疗器械 使用 场景 的详细说明，及该使用 场景 下针对 网络连接 功能 的注意事 项 。 注：使用场景可能是医院

16、、家庭、公共场所等。 8.3 随附文件 中 应包 含 该 医疗器械 对预期使用 场景 建议 的 软硬件配置和运行环境的 详细说明 。 8.4 随附文件 应 包含对 访问权限 的说明。 8.5 随附文件 应包含 医疗器械 接口 的详细说明 ： a） 所有远程 接口 ； b） 所有本地 接口 ； c） 所有无线 接口 。 8.6 随附文件 应 包含对 医疗器械 信息 安全 相关事件 的说明 。 注： 信息 安全 相关事件可以是 成功的登录或失败的登录 、用户身份认 证凭证的变更、有效用户帐户 列表的更改、配置的修改保存 、 核心业务事件的触发 、 成功的和不成功的软件更新等。 8.7 制造商 应

17、识别 医疗器械 中的 个人 敏感 信息 并记录 在 随附文件 中。 9 产品设计文档 9.1 制造商 应提供 该 医疗器械 的 信息 安全 风险分析 文档 。 9.2 产品应遵从 4.24.5 节所提到的所有风险控制 方式 ，如果 制造商 选择不遵守其中一个或多个风险控 制，那么 制造商 应在 医疗器械 信息安全 风险分析 文档 中记录并证明这一点。 DB32/T 3769-2020 9 附 录 A （资料性附录） 物理拓扑示例 A.1 物理拓扑 示例 图一：物理拓扑示例图 A.2 接口说明 示例 编号 接口类型 传输协议 接口用途 A RJ45 HL7 或 DICOM 通过 DICOM 协议

18、传输医学影像 B 蓝牙模块 蓝牙 4.0 通过蓝牙协议传输 血氧数据 C WIFI 模块 SOAP 或 FTPS 发送和接受 xxxx 数据 D 串口 RS232/RS485 MODBUS 发送和接受 xxxx 数据 E USB USB2.0 或 USB3.1 拷贝 xxxx 数据 F 4G 模块 HTTPS 或 FTP 通过 HTTPS 协议加密传输通信数据 G 表一：接口说明示例表 DB32/T 3769-2020 10 参 考 文 献 1 中华人民共和国网络安全法（中华人民共和国主席令第五十三号） 2 医疗器械网络安全注册技术审查指导原则 3 UL 2900-1 Standard for

19、 Safety Software Cybersecurity for Network-Connectable Products, Part 1: General Requirements 4 UL 2900-2-1 Outline of Investigation for Software Cybersecurity for Network-Connectable Products, Part 2-1: Particular Requirements for Network Connectable Components of Healthcare Systems 5 IEC80001-1:20

20、10, Application of risk management for IT-networks incorporating medical devices - Part 1: Roles,responsibilities and activities 6 IEC/TR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-1: Step-by-step risk management of medical IT-networks - Practical applications and examples 7 IEC/TR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls